确定所需的防火墙规则
您的工作站通过 Private Service Connect 连接到控制平面。以下子部分提供了允许入站和出站的 gcloud CLI 命令示例。如需详细了解这些命令,请参阅 gcloud compute firewall-rules 参考信息。
允许入站
为了成功建立连接,请创建一个防火墙规则,以允许从工作站虚拟机向控制平面 IP 地址发出入站连接。Cloud Workstations 会自动将 cloud-workstations-instance 网络标记应用于工作站虚拟机,您可以在创建适用于工作站虚拟机的防火墙规则时使用该标记。请参阅以下 gcloud CLI 命令示例:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
替换以下内容:
RULE_NAME:要创建的防火墙规则的名称NETWORK:工作站集群资源上指定的网络CONTROL_PLANE_IP:工作站集群控制平面的内部 IP 地址。如需查找此 IP 地址,请运行以下命令:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION替换以下内容:
CLUSTER:集群的 ID 或集群的完全限定标识符。PROJECT:托管工作站集群的项目。REGION:工作站所在的区域位置,例如us-central1。
允许出站
您还需要防火墙规则,以允许从端口 980 和 443 上的 TCP 协议的 cloud-workstations-instance 标记的虚拟机出站到控制平面 IP 地址,如以下 gcloud CLI 命令所示:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
替换以下内容:
RULE_NAME:要创建的防火墙规则的名称NETWORK:此规则将连接到的网络。如果省略,则规则会附加到默认网络。CONTROL_PLANE_IP:工作站集群控制平面的内部 IP 地址。如需查找此 IP 地址,请运行以下命令:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION替换以下内容:
CLUSTER:集群的 ID 或集群的完全限定标识符。PROJECT:托管工作站集群的项目。REGION:工作站所在的区域位置,例如us-central1。
如需了解详情,另请参阅以下主题:
WorkstationCluster REST API
使用自定义网络标记添加防火墙规则
您可以在 Google Cloud 控制台中为工作站虚拟机配置自定义网络标记。创建或修改工作站配置时,请更新机器配置,以便在网络标记字段中添加网络标记。如需详细了解如何添加网络标记,请参阅创建机器配置时指定高级选项的说明。
或者,在使用 API 时,通过工作站配置资源上的 host.gceInstance.tags 选项应用自定义网络标记。
如需详细了解 Google Cloud 中的虚拟私有云 (VPC) 防火墙规则,请参阅 VPC 文档中的创建 VPC 防火墙规则。